As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Criptografe os dados de saída e o volume de armazenamento com AWS KMS
<a name="sms-security-kms-permissions"></a>

Você pode usar AWS Key Management Service (AWS KMS) para criptografar os dados de saída de um trabalho de etiquetagem especificando uma [chave gerenciada pelo cliente ao](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) criar o trabalho de etiquetagem. Se você usar a operação de API `CreateLabelingJob` para criar um trabalho de rotulagem que usa rotulagem de dados automatizada, você também pode usar uma chave gerenciada pelo cliente para criptografar o volume de armazenamento anexado às instâncias de computação de ML para executar os trabalhos de treinamento e inferência.

Esta seção descreve as políticas do IAM que você deve anexar à chave gerenciada pelo cliente para habilitar a criptografia de dados de saída e as políticas que você deve anexar à chave gerenciada pelo cliente e à função de execução para usar a criptografia do volume de armazenamento. Para saber mais sobre essas opções, consulte [Criptografia de volume de dados de saída e de armazenamento](sms-security.md).

## Criptografar dados de saída usando o KMS
<a name="sms-security-kms-permissions-output-data"></a>

Se você especificar uma chave gerenciada pelo AWS KMS cliente para criptografar os dados de saída, deverá adicionar uma política do IAM semelhante à seguinte para essa chave. Essa política dá à função de execução do IAM que você usa para criar seu trabalho de rotulagem permissão para usar essa chave para realizar todas as ações listadas em `"Action"`. Para saber mais sobre essas ações, consulte [AWS KMS as permissões](https://docs.aws.amazon.com/kms/latest/developerguide/kms-api-permissions-reference.html) no Guia do AWS Key Management Service desenvolvedor.

Para usar essa política, substitua o ARN do perfil de serviço do IAM em `"Principal"` pelo perfil de execução que você usa para criar o trabalho de rotulagem. Quando você cria um trabalho de rotulagem no console, esse é o perfil que você especifica para o **Perfil do IAM** na seção **Visão geral do trabalho**. Quando você cria um trabalho de rotulagem usando o `CreateLabelingJob`, esse é o ARN que você especifica para o [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn).

```
{
    "Sid": "AllowUseOfKmsKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/service-role/example-role"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}
```

## Criptografe dados automatizados, rotulagem e volume de armazenamento de instâncias de computação de ML
<a name="sms-security-kms-permissions-storage-volume"></a>

Se você especificar a [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_LabelingJobResourceConfig.html#sagemaker-Type-LabelingJobResourceConfig-VolumeKmsKeyId](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_LabelingJobResourceConfig.html#sagemaker-Type-LabelingJobResourceConfig-VolumeKmsKeyId) para criptografar o volume de armazenamento anexado à instância de computação de ML usada para treinamento e inferência automatizados de rotulagem de dados, faça o seguinte:
+ Anexe as permissões descritas em [Criptografar dados de saída usando o KMS](#sms-security-kms-permissions-output-data) à chave gerenciada pelo cliente.
+ Anexe uma política semelhante à que segue para a função de execução do IAM que você usará para criar o trabalho de rotulagem. Essa é o perfil do IAM que você especifica [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html#sagemaker-CreateLabelingJob-request-RoleArn) em `CreateLabelingJob`. Para saber mais sobre a `"kms:CreateGrant"` ação que essa política permite, consulte [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)a Referência da AWS Key Management Service API.

------
#### [ JSON ]

****  

```
{
"Version":"2012-10-17",		 	 	  
"Statement": 
 [  
   {
    "Effect": "Allow",
    "Action": [
       "kms:CreateGrant"
    ],
    "Resource": "*"
  }
]
}
```

------

Para saber mais sobre a criptografia de volume de armazenamento do Ground Truth, consulte [Use a chave do KMS para criptografar o volume de armazenamento de rotulagem automática de dados (apenas API)](sms-security.md#sms-security-kms-storage-volume).